(83) Съществените и важните субекти следва да гарантират сигурността на мрежовите и информационните системи, които използват в своите дейности. Тези системи са предимно частни мрежови и информационни системи, управлявани от вътрешен ИТ персонал на съществените и важните субекти, или такива, чиято сигурност е възложена на външни изпълнители. Мерките за управление на риска в областта на киберсигурността и задълженията за докладване, предвидени в настоящата директива, следва да се прилагат по отношение на съответните съществени и важни субекти без оглед на това дали те извършват вътрешно поддръжка на своите мрежови и информационни системи или възлагат поддръжката на външни изпълнители.